اختراق منصة دريفت: كوريا الشمالية تسرق 285 مليون دولار

كشفت منصة دريفت (Drift) عن تفاصيل اختراق أدى لسرقة 285 مليون دولار، مؤكدة أن الهجوم كان نتيجة عملية هندسة اجتماعية معقدة استمرت لستة أشهر من قبل كوريا الشمالية.

وفقاً لما أورده تيكبامين، فإن الهجوم الذي وقع في 1 أبريل 2026 لم يكن وليد الصدفة، بل كان تتويجاً لعملية استخباراتية منظمة بدأت في خريف عام 2025. وتعد منصة دريفت واحدة من أكبر البورصات اللامركزية القائمة على شبكة سولانا (Solana).

من هي المجموعة المسؤولة عن اختراق منصة Drift؟

نسبت المنصة الهجوم بثقة متوسطة إلى مجموعة تسلل إلكتروني مدعومة من الدولة في كوريا الشمالية تُعرف باسم UNC4736. وتشتهر هذه المجموعة بعدة أسماء حركية في أوساط الأمن الرقمي ومنها:

• AppleJeus
• Citrine Sleet
• Golden Chollima
• Gleaming Pisces

وتمتلك هذه المجموعة تاريخاً طويلاً في استهداف قطاع العملات الرقمية بهدف السرقة المالية منذ عام 2018 على الأقل. ومن أبرز عملياتها السابقة اختراق منصة Radiant Capital في أكتوبر 2024 وسرقة 53 مليون دولار، بالإضافة إلى خرق سلسلة التوريد الشهير X_TRADER/3CX في عام 2023.

كيف تم تنفيذ الهجوم على منصة دريفت؟

أوضحت التحليلات التي تابعها تيكبامين أن المهاجمين استخدموا أساليب متطورة تعتمد على بناء الثقة الزائفة. حيث انتحل أفراد المجموعة صفة شركة تداول كمي واقتربوا من المساهمين في منصة دريفت خلال مؤتمرات دولية كبرى للعملات المشفرة.

المراحل التقنية للاختراق:

• التواصل الأولي: التقرب من الموظفين تحت ذريعة تكامل البرامج أو التعاون التجاري.
• التوظيف الزائف: تقديم عروض عمل وهمية لإغراء الموظفين بتحميل حزم برمجية خبيثة.
• استخدام لغة Python: إرسال حزم برمجية ملغومة بلغة بايثون للوصول إلى بيئة الحوسبة السحابية للضحية.
• التحرك الجانبي: الوصول إلى إعدادات إدارة الهوية والوصول (IAM) والموارد السحابية المرتبطة بها.

بمجرد السيطرة على هذه الموارد، تمكن القراصنة من تحويل الأصول الرقمية إلى محافظ خاضعة لسيطرتهم الكاملة، وهو ما يفسر حجم المبلغ الضخم الذي تم الاستيلاء عليه خلال عملية الاختراق.

لماذا تستهدف كوريا الشمالية قطاع العملات الرقمية؟

أشار تقرير صادر عن شركة كراود سترايك (CrowdStrike) إلى أن مجموعة Golden Chollima تركز بشكل أساسي على سرقة العملات المشفرة لتمويل النظام الحاكم في كوريا الشمالية. ويأتي هذا النشاط في ظل حاجة الدولة إلى إيرادات إضافية لتمويل خطط عسكرية طموحة تشمل:

• بناء مدمرات بحرية جديدة.
• تطوير غواصات تعمل بالطاقة النووية.
• إطلاق أقمار صناعية إضافية للاستطلاع.

وتشير البيانات التسلسلية (On-chain) إلى أن تدفقات الأموال المستخدمة في تنفيذ اختراق منصة Drift ترتبط مباشرة بالمهاجمين الذين استهدفوا منصة Radiant سابقاً، مما يؤكد وحدة المصدر والأسلوب التشغيلي لهذه الهجمات العابرة للحدود.

في الختام، تعمل منصة دريفت حالياً مع جهات إنفاذ القانون وشركاء التحقيق الجنائي لجمع كافة الأدلة حول تسلسل الأحداث، وسط تحذيرات متزايدة للمنصات المالية من خطورة هجمات الهندسة الاجتماعية التي تستهدف العنصر البشري قبل الثغرات التقنية.